本文將介紹如何從iPhone中萃取個人地理資訊的方法,並以iPhone內的數位證據在保管過程中遭到惡意刪除作為案例,說明個人地理資訊對於調查案情的需要性,也清楚印證證物管理鏈為數位鑑識人員處理數位證據之重要遵循原則。
iHash
Mac上的軟體,可於App Store下載。可簡單對文字或檔案產生Digest,針對許多檔案格式皆有支援,對於確認檔案的完整性,有極大的幫助。
將目標檔案拉至iHash軟體中,即可快速地得到該檔案的Digest,如圖2所示。此外,也可以與其他檔案的Digest比較,如圖3所示。
 |
| ▲圖2 iHash程式畫面。 |
 |
| ▲圖3 iHash中的Digest比較。 |
萃取個人地理資訊
以下說明如何從手機地理位置以及Hash函數中,萃取出個人的地理資訊。
手機地理資訊
先說明何謂地理資訊,然後介紹與其有關的鑑識方法。
簡介地理資訊
目前手機廠商所發售的手機,大部分皆配置有定位服務功能,而隨著行動網路的普遍,使得使用者無時無刻皆能接收到GPS訊號,而進行地圖上定位。
例如最近十分流行的Pokemon GO遊戲,便是利用虛擬實境(Virtual Reality,VR)技術,並接收使用者當下的GPS訊號,而投射至虛擬地圖上,進行神奇寶貝的尋找與收服。而導航系統,也是接收使用者當下GPS訊號,而為使用者分析可能行進路徑與路途中的道路資訊。
因此,有越來越多的手機應用程式開發商,借助著GPS訊號,為使用者開發越來越多方便的App,以供使用者使用。
地理資訊鑑識方法
隨著科技發展,越來越多人都會拍照,並於社群軟體上進行打卡,分享生活中旅遊與美食。然而,當開啟手機中的定位服務並拍照時,相片中的隱藏資訊(Metadata)也會記錄著當下拍照的地理資訊,大多數人並不會注意其資訊,但此資訊卻可為執法單位所利用,進行犯罪人之行為調查。
此時若運用iTunes對手機進行備份,並透過鑑識軟體將備份檔中的地理資料匯出成KML檔,然後將KML檔導入至Google地圖裡,便可在Google地圖中快速地顯現出手機的主人曾於何地出沒或經常於何地出入。接著,說明相關的萃取步驟。
首先將其行動裝置運用iTunes進行備份。備份後,由於電腦內有多筆手機裝置備份檔案,所以在進行手機地理資訊萃取前,必須確認該筆備份檔案的備份時間與儲存路徑,如圖4所示。
 |
| ▲圖4 確認手機備份時間。 |
接著開啟iPhone Backup Extractor軟體,如圖5所示,在左上角可看到曾經備份之裝置名稱與備份時間,然後確認與目標裝置、其IMEI、備份時間、作業系統版本、裝置型號是否皆相同,以確定證據的來源性是否正確。
 |
| ▲圖5 iPhone Backup Extractor操作畫面。 |
再點選【File】功能表中的【Convert location data DB to KML】選項,即可將備份檔中有關於位置的相關資訊轉成KML檔,並輸出於桌面上,如圖6所示。
 |
| ▲圖6 將備份檔中Location DATA轉成KML檔。 |
然後開啟Google地圖,選取「我的地圖」,並按下「建立地圖」,將可見到如圖7所示的畫面。將步驟3的KML檔匯入至Google地圖中,即可在畫面上顯示出如圖8所示的畫面。
 |
| ▲圖7 將Location的KML檔匯入至Google地圖中。 |
 |
| ▲圖8 透過Google地圖將Location DATA轉成清晰可見的位置。 |